倪光南：解决XP停用导致的安全问题刻不容缓

针对微软将于今年4月8日起停止为Windows XP推送安全补丁及系统修复一事，中国工程院院士倪光南日前接受媒体记者采访时表示，对中国而言，XP停止服务是一个“重大的信息安全事件”，相关各方应该立即行动，采取果断措施，提升国家信息安全的保障力度。

中国的PC中，XP的市场份额占73.5%%，即XP在用量约为2亿台，其中84.2%%的用户没有升级到“视窗8”的计划

XP停止服务是重大信息安全事件

微软此举涉及的电脑数量巨大，是一个重大的信息安全事件。大量采用外国的操作系统和CPU等核心软硬件，存在极大安全隐患。

微软停止XP服务意味着它将不再对XP的安全问题负责，将不再发布XP的漏洞和补丁，这显然使XP用户面临很大的安全风险。看来，微软此举是希望XP用户在这种压力下能升级到“视窗8”。根据《2012年度中国软件盗版率调查报告》的数据，在中国的PC中，XP的市场份额占73.5%%，即XP在用量约为2亿台，其中84.2%%用户没有升级到“视窗8”的计划。也就是说，绝大多数中国XP的用户都希望继续使用XP，微软的决定不符合他们的愿望。由于微软此举涉及的电脑数量巨大，因此是一个重大的信息安全事件，对中国的信息安全不利，需要认真应对。

作长期打算，不仅是为了减轻近期风险，而且还要大大增强长期的信息安全。为此进行投入、付出代价都是值得的。现实情况是，中国在智能终端操作系统上完全受制于人。所谓智能终端，指的是各种信息终端，随着云计算的兴起，这些就是各种接受云服务的终端，包括桌面PC、智能手机、平板电脑、智能电视等家用智能终端、可穿戴设备、车载设备等等。这类智能终端使用的操作系统具有高度的垄断性，现在全世界基本上只有3家——苹果、谷歌和微软的系统。中国尽管是世界上智能终端的最大制造国，可是制造的所有智能终端都是用的这3家系统。这种局面不改变，不仅我国智能终端制造业的利润和发展受到制约，而且所有终端都运行外国操作系统，从大数据的角度看，我国用户的数据都被人所掌握，信息安全没有保障。由此可见，解决这个问题是刻不容缓的。

过去在信息安全方面的许多措施，例如在信息系统外围设置防火墙、进行漏洞扫描，安装杀毒、杀木马软件等等，不一定真正解决问题。例如2008年微软对其认为是使用盗版软件的用户电脑实行“黑屏”，当时有人问：我的电脑装了杀毒软件，为什么防不了“黑屏”?这是因为操作系统是最基础的软件，是一切软件运行的平台，杀毒软件也在操作系统之上运行，也受它的控制，当然不可能干预操作系统，操作系统要电脑“黑屏”，其他软件是无法阻止的。

应当指出，信息系统的核心软硬件，尤其是操作系统和CPU芯片等，与系统的安全关系极大。历来我国政府和重要信息系统中，大量采用外国的操作系统和CPU等核心软硬件，存在极大安全隐患。为了从根本上增强信息安全，今后需要对这些系统中使用的核心软硬件以自主可控的国产软硬件进行替代，由替代XP所引发的操作系统国产化替代就是重要的环节。

抑制微软系统尽快推出国产替代产品

应防止“视窗8”进入政府和重要行业，推出有公信力的“安全云服务”，自主发展替代XP的国产操作系统及其生态环境。

据报道，我国版权局曾就微软停止XP服务一事与微软商议，希望微软能考虑用户的需求，延长支持，但微软并未响应。在倪光南看来，不论此事是否合理，要真正解决问题，停留在议论上是没有用的，必须立即采取果断措施，应对此事带来的安全风险。

措施一：

为长远着想，首先应防止“视窗8”进入政府和重要行业。回顾2006年微软发布“视窗Vista”(“Vista”)时，有关机构根据专家评估，确认其架构会使用户电脑被微软高度掌控，其结果是“Vista”未列入政府采购目录。现在同类架构的“视窗8”的安全风险远远超过“Vista”，更不应被引入政府和重要行业，故不应将“视窗8”列入政府采购目录。

措施二：

同时，应在信息安全领域权威机构——中国国家信息安全漏洞库的支撑下，集中我国信息安全领域的力量协同攻关，采用自主创新的可信计算技术进行安全加固，在微软停止对“XP”支持后，推出有公信力的“安全云服务”，接管我国2亿台XP电脑用户的服务支撑。这样，可防止在微软中止支持XP后，继续使用XP的电脑出现严重安全事件。

措施三：

接着，中国“政产学研用”各界要共同努力，自主发展替代XP的国产操作系统及其生态环境。为此，要发扬“两弹一星”和载人航天精神，加大自主创新力度，学习“北斗”、“TD”等产业联盟的成功经验，创新地组织面向智能终端操作系统的产业联盟，发挥市场在资源配置中的决定性作用，整合全国资源，吸收社会资金，协调一致，避免内耗，尽快推出国产操作系统及其生态环境来替代XP。以此为突破点，进而以点带面，推进到替代其他桌面操作系统，然后再扩展到替代移动操作系统。最终，我们希望中国国产智能终端操作系统能成为世界上继苹果、谷歌和微软3家系统后的第4家系统。

我国应当针对在信息安全领域的那些受制于人的关键核心技术，包括上述的智能终端操作系统、CPU和网络架构等等，发展自主可控的国产技术和设备，推进若干国产化替代工程，以便达到自主可控的目标。当然，自主可控只是一个先决条件，在这基础上还要做到安全可信，最终使国家信息安全得到有力保障。

延伸阅读

微软开价1940万美元延长XP服务

微软将于2014年4月8日停止对Windows XP系统的支持，全球各国的企业、机构组织正在赶着在Windows XP退休之前将内部计算机系统升级到更高版本。不过，爱尔兰政府并不着急将内部计算机系统升级到Windows XP以上的版本，这是因为，该政府与微软签订了一项价值450万美元的Windows XP延长支持协议。

根据协议，微软将在4月8日之后再向爱尔兰政府机构的计算机提供12个月的补丁，这也就是说，爱尔兰政府得在2015年4月之前升级计算机系统。

这份备忘录覆盖的爱尔兰政府部门包括卫生部、司法部、环保部和教育部，而包括发展改革部、社保部、农业部在内部门的计算机网络已经升级到了Windows XP以上。

消息人士透露，最开始，微软提出，提供12个月的技术支持需要至少1940万美元资金支持，但经过爱尔兰政府的讨价还价，最终价格定格在450万美元。

“10分钟被感染”说不准确

金山毒霸安全专家李铁军表示，“10分钟被感染”尽管不是一个准确的说法，但是比较形象地指出了使用停止服务的操作系统电脑所面临的安全风险。

对操作系统的技术支持和维护，也就是专业上所说的“打补丁”。对于联入互联网的电脑，如果操作系统没有更新打补丁，10分钟中毒是有可能的，但是到底多长时间会被感染并没有一个确定的概率，问题的关键是没打补丁的系统被病毒或者网络蠕虫入侵，确实是非常容易的事情。

李铁军认为，4月8日之后，如果仍然使用XP系统，其安全性也许更多将只能借助于第三方安全软件来帮助解决，但这种补丁很难像系统软件厂商那样考虑得周到全面。对用户来讲，有“靠天吃饭”的感觉，因此建议升级到新版本的操作系统，以获得系统安全的支持。

微观点

@四川广电网络_成都：4月8日起，微软停止对Windows XP的更新服务，目前，仍有超过2亿台电脑用XP。而只有极少数的XP电脑可以直接升级至Window 8系统。个人用户升级花费在1000元到2000元，而对于有500台电脑的企业来说，系统升级费用可能超过200万元。

@iDev创业技术沙龙官网：微软Windows XP退役为安全厂商带来商机。首先是操作系统软件安卓、iOS都会分食一些市场。同时，一些耕耘已久的Linux企业也有机会。但分析师曹开彬认为，操作系统格局短时间很难有根本性变化。此外，在XP停止服务的同时，Office 2003也将停止服务。那么国内的办公软件将有一轮新的商机，比如金山软件、永中Office等企业。

@风之奇缘9261：360推出XP专版安全卫士，百度推出XP个人定制版，金山推出XP专版，相信没有微软，XP也可以存活，当然，个人言论，仅供参考。

@安扬：用户不愿升级XP的原因，1.XP是微软历史上最成功的产品，用户使用时间最长，养成的使用习惯很难改变。2.虽然微软阶段性地给了一些鼓励XP用户向Vista和Win8升级的优惠政策，但用户依然觉得成本过高，特别是政府、大企业客户，动辄就有上千台电脑需要升级，总成本太高。3.政府和企业客户，他们有很多专属应用系统，都是早年在XP环境下开发的，升级到Vista、Win8后无法运行，需要付出二次开发成本，所以政府和企业客户更不会轻易放弃XP系统。